23T35 Typowa Konfiguracja – VLAN’y Trunk IP DHCP NAT w 15 min. [Konfiguracja Mikrotik]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:51 Topologia

1:16 Konfiguracja VLANów Tagowanych

3:30 Konfiguracja NATa

4:30 Konfiguracja Routera – Switch’a

6:21 Konfiguracja Bridge

9:00 Dodanie Klientów DHCP

13:35 Podsumowanie

Transkrypcja

W dzisiejszym odcinku pokażę jak skonfigurować bardzo typowy scenariusz czyli mamy jakieś urządzenia dostępowe, jakieś komputery. Musimy skonfigurować tam Bridge na tym naszym Mikrotiku czyli część taką funkcjonalną przełącznika. Oprócz tego będziemy mieli ten Mikrotik w postaci przełącznika połączony z Mikrotikiem, który będzie pełnił rolę routera czyli pomiędzy tymi urządzeniami trzeba będzie skonfigurować tagowane VLANy trunkowe no i będziemy mieli połączenie z internetem, z operatorem i na tym połączeniu, na tym interfejsie trzeba skonfigurować NATa czyli maskaradę. I tym dzisiaj będę się zajmował.

No to zacznijmy od tego co tutaj mamy, mamy po prawej stronie router, dwa interfejsy fizyczne eth1, eth-2. Eth-1 idzie do Internetu, eth-2 trunkiem czyli tagowanymi VLANami będzie łączył nasz drugi Mikrotik, który będzie bardziej w roli switcha i routera i to będziemy w drugiej części konfigurować. Najpierw zajmiemy się tym routerem i konfiguracją VLANów tagowanych oraz NATa czyli maskarady. Zaczynamy od interfejsów. Mamy tutaj nasze 4 interfejsy. Teraz pierwszy interfejs będzie prowadził do internetu.

Możemy konfigurować VLANy w ramach tutaj + i menu VLAN albo przejść do zakładki VLAN i tutaj też można utworzyć VLAN. Tworzymy więc w zakładce VLAN: nazwa VLANu, numer VLANu czyli ID i interfejs fizyczny na którym będziemy ten VLAN wysyłać. Czyli VLAN 2 na interfejsie 2. Każdy VLAN który tutaj stworzymy będzie VLANem tagowanym czyli będziemy wysyłać w ramce ethernetowej ID VLANu.

Teraz kolejny VLAN – VLAN 3 i interfejs 2. To jest ten Interfejs, który będzie łączył dwa Mikrotiki czyli to połączenie Trunk. Teraz nadamy adres IP czyli dodajemy adresację dla 20 VLANu: 20.20.20.1 VLAN 2. Tak samo robimy dla VLANu 3 – 30.30.30.1, maska 24 bity, interfejs VLAN3. Mamy już adresy IP dla każdego VLANu przypisane. Teraz możemy skonfigurować serwer DHCP. No i tutaj z Wizarda można skorzystać czyli wybieramy interfejs, VLAN drugi i adresacja, zakres adresów dla hostów DNS i mamy skonfigurowany DHCP. Teraz dla drugiego VLANu to samo, czy dla VLANu 3: zakres hostów, i mamy dwa serwery DHCP skonfigurowane dla każdego z VLANów. VLAN 2, VLAN 3.

Teraz konfiguracja NATa czyli interfejs, który wychodzi do internetu. Tutaj klikamy sobie maskaradę jako akcję w zakładce akcja czyli będziemy maskować ten adres źródłowy naszego ruchu wychodzącego i ponieważ źródłowy to wybieramy Chain: srcnat czyli każdy pakiet, który będzie wychodził od naszej sieci wewnętrznej – źródłowy adres IP będzie zamieniany na adres interfejsu routera z adresacją publiczną. Czyli srcnat Chain i wybieramy, że kwalifikacja będzie polegała na interfejsie. Czy wybieramy interfejs 1, pakiet wychodzący z tego interfejsu będzie podlegał tej regule. Stosujemy i mamy maskaradę czyli NATa wykonanego. Ta część prawa jest skonfigurowana. Czyli tu na tym eth2 skonfigurowaliśmy dwa tagowane VLANy, na eth1 skonfigurowaliśmy maskaradę dla każdego pakietu, który będzie wychodził tym linkiem do internetu.

Teraz możemy przejść do konfiguracji routera switcha czyli będziemy mieli konfigurację routera na interfejsie eth2 podobnie jak mieliśmy poprzedniego Mikrotika w trybie routerowym i będziemy konfigurować następnie Bridge. Bridge będzie związany z interfejsem eth3 i drugi Bridge czyli kolejny na interfejsie eth4. Dla każdego VLANu czyli VLANu 2 i VLANu 3 w dostępie. Tutaj nie ma tagowania. Tu skonfigurujemy osobny Bridge i każdy z tych Bridge będzie miał powiązany fizyczny interfejs od strony tego peceta
czyli w VPC i tagowany VLAN od strony trunka. Tu do tego Bridge będziemy przypisywać interfejsVLAN i interfejs fizyczny do każdego z nich odpowiednio. Czyli dla VLANu2 interfejs eth4 i interfejs VLAN 2 Dla VLANu 3. interfejs eth3, osobny Bridge i vlan3. No to robimy.

Zaczniemy od konfiguracji interfejsów. Tym razem z tego menu VLAN2 konfigurujemy. Czyli teraz to będzie konfiguracja dotycząca połączenia pomiędzy Mikrotikami. Czyli VLAN2, fizyczny interfejs ether2 i VLAN3 fizyczny interfejs ether2. Czyli mamy połączenie trunkowe pomiędzy Mikrotikami skonfigurowane. Teraz będziemy konfigurować Bridge. Bridge czyli tą część dostępową. Dodajemy nowego bridge’a czyli tym tutaj plusikiem w zakładce Bridge dodajemy Bridge. Nazwę oczywiście jakiegoś Bridge powinniśmy dodać. Możemy go nazwać na przykład Bridge VLAN2. Bridge mamy dodany. Dodamy drugi Bridge dla VLANu 3.

No i mamy dwa takie przełączniki logiczne skonfigurowane na tym naszym Mikrotiku, który będzie podłączał urządzenia końcowe czyli te VPC. No i teraz to co potrzebujemy dodać to porty i tak jak wspomniałem do każdego bridge dodamy jeden port fizyczny i jeden interfejs VLAN. No to robimy.

Czyli zaczynamy od interfejsu VLAN. VLAN 3, Bridge 3. Mówimy o VLANie 3. VLAN 3, interfejs fizyczny 3 i dodajemy Bridge VLAN 3. Czyli mamy skonfigurowane tutaj dwie części tego bridge’a. VLAN3 mówi, że ruch wychodzący z tego bridge będzie tagowany w VLANie 3 i mamy tu informację, że fizyczny interfejs 3 będzie tutaj portem dostępowym na tym Bridge. Czyli wiążemy tagowany port czy tak zwany interfejs bardziej VLAN3 z fizycznymi interfejsem ether3. Ether3 to jest port dostępowy. Tu będą nietagowane ramki. Wychodzić będą VLANem tagowanym 3. Podobną konfigurację robimy dla drugiego VLANu. Czyli VLAN2 podpinamy do bridge’a 2. Czyli jesteśmy teraz tutaj. VLAN 2 czyli ten tagowany mamy już podpięty do bridge, który tutaj będzie w VPC 5 podłączał na interfejsie eth4 i dodajemy ten eth4 fizyczny interfejs do bridge’a drugiego.

Mamy w ten sposób powiązane tagowane interfejsy czy jeden interfejs tagowany pomiędzy Mikrotikami i interfejsy nie tagowane. To, co teraz zrobimy żeby to wszystko nam zadziało żeby zobaczyć, że funkcjonuje. To dodamy dwóch klientów DHCP. Czyli jesteśmy na Mikrotiku i zobaczymy sobie czy adres na porcie nietagowanym Bridge’a 2 dla VLANu2 czy dostaniemy tutaj adres IP. I tak samo dla Bridge VLAN 3. I widać, że oba
adresy zostały przypisane. Czyli serwer DHCP, który jest świadczony z tego routera Mikrotika połączonego trunkiem, widać, że ten serwer działa.

Konfiguracja pomiędzy Mikrotikami jest na pewno właściwa bo dostajemy adres IP dla każdego z Bridge. Teraz to co sprawdzimy to czy nam prawidłowo działa konfiguracja pomiędzy Mikrotikiem router Switch a w VPC4. Czyli wystarczy zalogować się na VPC 4, uruchomić klienta DHCP i zobaczyć czy otrzyma adres. Otrzymał adres, można zauważyć, że adres 30.30.30 czyli VLAN3. I teraz w VPC 5 to samo.

Sprawdzamy czy w VLANie2 otrzyma adres DHCP. No i widać 20.20.20 Czyli VLAN 2 wszystko działa prawidłowo. Możemy teraz zapingować coś w internecie czyli sprawdzimy czy nasza Maskarada działa ale widzimy, że odpowiedzi są przesłane prawidłowo czyli właściwie NAT funkcjonuje. To samo z VPC 4. Zobaczmy czy osiągamy internet. Prawidłowo wszystko działa, możemy sprawdzić też czy jeden host w VLANie drugim pinguje hosta w VLANie 3 i widzimy, że odpowiedzi idą. Czyli komunikacja między VLANami działa.

Funkcję routowania pomiędzy tymi VLANami pełni ten Mikrotik po prawej stronie. Mikrotik router, który ma łącze do internetu. On routuje ruch pomiędzy VLANami i widać, że ten ruch działa. Z VLANu 3 do VLANu 2. To co teraz jeszcze możemy zobaczyć i sprawdzić to czy jeżeli zablokujemy na Firewallu na routerze ruch pomiędzy VLANami to będziemy widzieć time out’y pingując pomiędzy VPC4 a VPC 5. Czyli jak Ping idzie to on idzie tędy przez interfejs eth2, zawraca i idzie do VPC 5 i tak samo w tę stronę. Czyli jeżeli zablokujemy na Firewallu tutaj na wejściu, na routerze ruch pomiędzy VLANami to powinniśmy zobaczyć Time out.

No to spróbujmy. Czyli przechodzimy do zakładki Firewall, nie ma żadnych wpisów to oznacza, że cały ruch jest przepuszczany obecnie. Jeżeli nie ma żadnego wpisu. Stworzymy regułę, która mówi, że pakiet wchodzący na VLAN 2 a wychodzący do VLANu 3 ma mieć akcję, którą za chwilę przepiszemy. Czyli zablokujemy. Blokujemy czyli Drop czyli każdy  pakiet, który będzie teraz szedł od VLANu 2 do VLANu 3 zostanie zablokowany. Podobną regułę możemy zrobić w VLANu 3 do VLANu 2 i też ten pakiet możemy dropować.

Mamy więc dwustronną regułę. To czego tutaj nie ma a powinno być żeby ten test był taki w pełni miarodajny to powinna być stworzona dodatkowa reguła, która tu na samym końcu zezwala na całą pozostałą ilość ruchu żebyśmy mogli zobaczyć, że ten ruch faktycznie jest blokowany ale pozostały ruch przechodzi. Jeżeli włączysz regułę na Firewallu to ostatnia domyślna taka niewidzialna reguła to jest zawsze drop. W związku z tym jeżeli jakąkolwiek regułę tutaj wpiszesz i nie zezwolisz na dany ruch to znaczy, że ten ruch, który się nie kwalifikuje do żadnej z powyższych reguł zostanie również skasowany.

W tym naszym przykładzie nie będzie tego dobrze widać dlatego, że będziemy testować tylko pomiędzy VLANami teraz ruch więc ten będzie dropowany ale pamiętaj o tym żeby tutaj mieć na uwadze, że jeżeli jakąkolwiek regułę wpisujesz do Firewalla to na końcu jest taki domyślny drop. Zawsze dla każdego pakietu, który się nie zakwalifikuje do poprzednich reguł. No i zobaczmy czy teraz mamy możliwość pingowania. I widać, że są time out’y z VPC 5 i z VPC 4 również będą teraz teraz time outy.

Na dzisiaj to tyle. Jedna ważna rzecz na koniec: jeżeli konfigurujesz wiele bridge to upewnij się, że na modelu Mikrotika, który używasz albo nie ma w ogóle wsparcia sprzętowego dla bridge no i wtedy możesz ich tworzyć sobie ile chcesz bo i tak wszystko co jest przetwarzane idzie do procesora głównego albo upewnij się, że ilość bridge wspieranych na danym modelu jest faktycznie hardwerowo obsługiwana. Czyli że chipset czyli ten ASIC przełącznika, który jest wbudowany w dane urządzenie Mikrotika obsługuje daną ilość bridge czyli tych przełączników logicznych, które próbujesz skonfigurować na danym modelu. Jeżeli oczywiście nie zależy ci na wydajności to nie musisz się w ogóle tym przejmować, możesz sobie pokonfigurować tyle bridge ile tylko uważasz. Natomiast jeżeli to już jest jakaś implementacja gdzie mamy dużo użytkowników, więcej ruchu to na takie rzeczy należy zwracać uwagę. Na dzisiaj to tyle. Jeżeli masz inne jakieś pytania to oczywiście pisz w komentarzu i widzimy się, słyszymy w kolejnym odcinku.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.